Clouderera SCM Server启动失败之pam_unix(sshd:session) session closed for user root分析定位

最新推荐文章于 2023-09-08 02:15:33 发布
最新推荐文章于 2023-09-08 02:15:33 发布
阅读量1.3w 收藏 1
点赞数 3
分类专栏: 大数据 Cloudera Hadoop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Post_Yuan/article/details/102914847
版权

昨天在某客户环境进行CDH Hadoop的安装,安装还算比较顺利,但在启动Cloudera SCM Server和Agent服务的时候均启动失败。

[root@YXnode01 ~]# service cloudera-scm-server restart
Restarting cloudera-scm-server (via systemctl):  Job for cloudera-scm-server.service failed because the control process exited with error code. See "systemctl status cloudera-scm-server.service" and "journalctl -xe" for details.
                                                           [FAILED]

根据上述提示信息,我们执行"systemctl status cloudera-scm-server.service"查看详细错误信息如下,

[root@YXnode01 ~]# systemctl status cloudera-scm-server.service
● cloudera-scm-server.service - LSB: Cloudera SCM Server
   Loaded: loaded (/etc/rc.d/init.d/cloudera-scm-server; bad; vendor preset: disabled)
   Active: failed (Result: exit-code) since Tue 2019-11-05 09:25:49 CST; 3min 32s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 15982 ExecStart=/etc/rc.d/init.d/cloudera-scm-server start (code=exited, status=1/FAILURE)

Nov 05 09:25:44 YXnode01.esgyn.cn systemd[1]: Starting LSB: Cloudera SCM Server...
Nov 05 09:25:44 YXnode01.esgyn.cn su[16015]: pam_unix(su:auth): auth could not identify password for [cloudera-scm]
Nov 05 09:25:44 YXnode01.esgyn.cn su[16015]: pam_succeed_if(su:auth): requirement "uid >= 1000" not met by user "cloudera-scm"
Nov 05 09:25:46 YXnode01.esgyn.cn su[16015]: FAILED SU (to cloudera-scm) root on none
Nov 05 09:25:49 YXnode01.esgyn.cn cloudera-scm-server[15982]: Starting cloudera-scm-server: [FAILED]
Nov 05 09:25:49 YXnode01.esgyn.cn systemd[1]: cloudera-scm-server.service: control process exited, code=exited status=1
Nov 05 09:25:49 YXnode01.esgyn.cn systemd[1]: Failed to start LSB: Cloudera SCM Server.
Nov 05 09:25:49 YXnode01.esgyn.cn systemd[1]: Unit cloudera-scm-server.service entered failed state.
Nov 05 09:25:49 YXnode01.esgyn.cn systemd[1]: cloudera-scm-server.service failed.

顺便查看Cloudera SCM Server的日志,内容如下,

[root@YXnode01 ~]# tail -10f /var/log/cloudera-scm-server/cloudera-scm-server.out 
Password: su: Error in service module

检查Hadoop节点的selinux、防火墙、ssh等这些均正常,根据以上具体错误“pam_succeed_if(su:auth): requirement “uid >= 1000” not met by user “cloudera-scm””,我们怀疑可能是linux系统有什么特殊的安全策略,网上搜索一番找到阿里的一篇文章https://help.aliyun.com/knowledge_detail/41491.html?spm=a2c6h.13066369.0.0.2edd1479fTjQLg
根据上述文章内容,我们从目录/etc/pam.d下面搜索’uid >= 1000’相关内容,找到以下配置文件。

[root@YXnode01 pam.d]# grep 'uid >= 1000' *
password-auth:auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
password-auth-ac:auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
system-auth:auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
system-auth-ac:auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
[root@YXnode01 pam.d]# pwd
/etc/pam.d

于是我们注释掉上述相关的内容然后重试尝试启动SCM Server服务, 发现仍然启动失败,但报错信息略有不同,之前的错误pam_succeed_if(su:auth): requirement “uid >= 1000” not met by user "cloudera-scm"已经不存在,报错信息变成了FAILED SU (to cloudera-scm) root on none。

[root@YXnode01 ~]# systemctl status cloudera-scm-server.service
● cloudera-scm-server.service - LSB: Cloudera SCM Server
   Loaded: loaded (/etc/rc.d/init.d/cloudera-scm-server; bad; vendor preset: disabled)
   Active: failed (Result: exit-code) since Tue 2019-11-05 09:59:37 CST; 17s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 17469 ExecStart=/etc/rc.d/init.d/cloudera-scm-server start (code=exited, status=1/FAILURE)

Nov 05 09:59:32 YXnode01.esgyn.cn systemd[1]: Starting LSB: Cloudera SCM Server...
Nov 05 09:59:32 YXnode01.esgyn.cn su[17502]: pam_unix(su:auth): auth could not identify password for [cloudera-scm]
Nov 05 09:59:34 YXnode01.esgyn.cn su[17502]: FAILED SU (to cloudera-scm) root on none
Nov 05 09:59:37 YXnode01.esgyn.cn cloudera-scm-server[17469]: Starting cloudera-scm-server: [FAILED]
Nov 05 09:59:37 YXnode01.esgyn.cn systemd[1]: cloudera-scm-server.service: control process exited, code=exited status=1
Nov 05 09:59:37 YXnode01.esgyn.cn systemd[1]: Failed to start LSB: Cloudera SCM Server.
Nov 05 09:59:37 YXnode01.esgyn.cn systemd[1]: Unit cloudera-scm-server.service entered failed state.
Nov 05 09:59:37 YXnode01.esgyn.cn systemd[1]: cloudera-scm-server.service failed.

原来,使用root用户直接执行service cloudera-scm-server start时,内部会先切换到cloudera-scm用户进行启动,即启动时先执行su cloudera-scm命令。
于是我们检查从root切换到cloudea-scm用户,并在其他正常的环境中做同样的测试。我们发现在此环境里面root执行su cloudera-scm时会提示需要输入password,但在正常的环境中不需要。

[root@YXnode01 ~]# su cloudera-scm
Password:

根据此信息,我们进一步搜索到需要检查/etc/pam.d/su文件,于是我们对比了此环境和正常环境中的/etc/pam.d/su文件,区别如下图所示,
在这里插入图片描述
在此环境中,上述文件多出一行,我们按照正常环境中的配置注释掉上述这一行,然后重新启动SCM Server服务,现在能够正常启动。

[root@YXnode01 ~]# service cloudera-scm-server status
● cloudera-scm-server.service - LSB: Cloudera SCM Server
   Loaded: loaded (/etc/rc.d/init.d/cloudera-scm-server; bad; vendor preset: disabled)
   Active: active (exited) since Tue 2019-11-05 11:29:54 CST; 15s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 19790 ExecStart=/etc/rc.d/init.d/cloudera-scm-server start (code=exited, status=0/SUCCESS)

Nov 05 11:29:49 YXnode01.esgyn.cn systemd[1]: Starting LSB: Cloudera SCM Server...
Nov 05 11:29:49 YXnode01.esgyn.cn su[19823]: (to cloudera-scm) root on none
Nov 05 11:29:54 YXnode01.esgyn.cn cloudera-scm-server[19790]: Starting cloudera-scm-server: [  OK  ]
Nov 05 11:29:54 YXnode01.esgyn.cn systemd[1]: Started LSB: Cloudera SCM Server.

再来研究一下,
auth required pam_wheel.so group=wheel,表示禁止非wheel组用户切换到root。
在Linux中为了更进一步加强系统的安全性,很有必要建立了一个管理员的组,只允许这个组的用户来执行“su -”命令登录为root用户,而让其他组的用户即使执行“su -”、输入了正确的root密码,也无法登录为root用户。在UNIX和Linux下,这个组的名称通常为“wheel”。而这个是在配置文件/etc/pam.d/su里面配置的。因此,这一个配置加到su文件里面,就导致了cloudera-scm用户与root无法进行su切换,除非把cloudera-scm用户加到wheel组。

数据源的港湾
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
pam_smbsync:PAM模块与UNIX密码更改同步更新Samba密码
02-13
pam_smbsync PAM模块与UNIX密码更改同步更新Samba密码。 它唯一要做的就是调用smbpasswd来完成这项工作。 过去曾经有pam_smbpasswd模块,但是它已经消失了,并且pam_exec不支持密码更改。 可以在Samba中使用LDAP和pam_ldap + passdb backend = ldapsam进行SSO设置,但是对于小型本地设置而言,这可能会passdb backend = ldapsam 。 该模块支持普通用户更改密码,而root用户无需知道旧密码即可更改密码。 该模块没有自己的配置选项,但是接受那些修改pam_get_authtok (3)行为的选项。 在指定PAM_MODULE_DIR同时进行PAM_MODULE_DIR 。 在password pam_unix.so ...之后,安装并添加您的PAM配置password pam_u
pam_fido2:Linux的安全无密码身份验证
02-22
PAM Fido2模块(pre-alpha) 该PAM模块为Linux系统提供安全的用户名和无密码登录名。 通过向任何兼容的FIDO2设备发送FIDO2声明请求,并针对每个用户针对一组已注册的公共密钥验证结果声明,来执行用户认证。 重要的! 该软件当前在EARLY ALPHA中。 考虑一下它是一件很酷的事情,当然希望可以坚持使用-但是请不要在对安全性要求很高的环境中使用它! 安装 PAM-Fido2模块可以作为软件包安装,也可以从源代码编译。 Arch Linux 该软件包可 的Ubuntu 目前,夜间的Ubuntu版本是WIP。 敬请关注! 从来源 您将需要和来构建项目。 Yubico的libfido2也是一个依赖项,但是被静态编译为生成的可执行文件和库,以最大程度地提高与不同系统的兼容性。 # Clone this repository git clone https:/
PAM.zip_PAM_PAM spectrum_Spectrum pam_功率谱分析
07-15
PAM功率谱分析研究,包含MATLAB程序以及实验过程和参数
mysql Access denied for userroot’@’localhost’ (using password: YES)解决方法
09-10
主要介绍了mysql Access denied for userroot’@’localhost’ (using password: YES)解决方法,本文给出详细的解决步骤及操作注释,需要的朋友可以参考下
pam_bio::construction:并行运行howdy,fprint和检索密码的PAM模块
02-16
pam_bio 并行运行howdy,fprint和检索密码的PAM模块。 去做 将信号处理程序移到C部分 文档 按服务名称禁用_ {fprint,howdy} 启动身份验证任务之前检索用户名 在开始fprint身份验证之前检查gdm设置 建造 meson setup .build meson compile -C .build meson install -C .build # install pam_bio.so to /lib/security 用法 cat <<EOF> /etc/pam.d/test-pam-bio #%PAM-1.0 auth [success=1 default=ignore] pam_bio.so debug auth required pam_unix.so use_first_pass nullok auth optional pam_pe
Linux基础——sudo命令
ZhouXin1111112的博客
03-11 1313
sudo——用户提升权限的命令更改用户 panlinfeng 的密码。passwd:所有的身份验证令牌已经成功更新。panlinfeng ALL=(ALL) ALL #添加授权记录dr-xr-xr-x. 21 root root 4096 2月 26 16:03 /mkdir: 无法创建目录"pan": 权限不够我们信任您已经从系统管理员那里了解了日常注意事项。总结起来无外乎这三点:#1) 尊重别人的隐私。
Server refused our key问题解决方案
最新发布
blzgod的博客
09-08 1200
Server refused our key问题,SSH无密码登录,MobaXterm软件
定时任务Crontab 报错踩坑:Cron: pam_unix (cron:session): session opened/closed for user root by (uid=0)
FuJinlong94的博客
09-23 1万+
Linux定时任务crontab 不执行没效果 service crond status 查看后出现 Cron: pam_unix (cron:session): session opened/closed for user root by (uid=0) 这类信息 因为cron可以按配置多久时间运行一次。当cron执行此操作时,它通常作为root用户运行,这样做会为所述用户创建一个会话。 修改过程: 1,进入/etc/pam.d目录 2,打开文件 common-session-noninte
sshd登录问题: pam_unix(sshd:session): session closed for user root
热门推荐
weixin_43570089的博客
08-20 3万+
报错: pam_unix(sshd:session): session closed for user root 工位上使用ssh无法root登录(其他账户也一样)。 1、踢账户(反复发作) who pkill -kill -t pts/1 who 2、 期间重启过网卡问题没解决,最后解决办法重启网络(呵呵)。 linux下ssh登陆日志文件secure分析(相关连接) https://www.i...
[linux]十一、sudo命令的详细使用方法和ACL的基本命令讲解
m0_48638643的博客
03-18 1万+
本部分主要介绍了sudo这个命令的使用方法和sudo的日志文件,以及使用sudo去执行命令的时候怎么才能够免密码执行、设置ACL和两种ACL类型
服务器被矿工入侵记录
王瑞的技术专栏
08-11 885
一次服务器被矿工入驻的处理记录
Linux系统安全
gxy_learning的博客
11-18 2945
系统安全 系统权限 安装系统 选择稳定版操作系统:CentOS6.9,CentOS7.6 最小化安装:方便后期部署与升级应用 不要安装gcc,make,防止黑客入侵,直接编译 安装完系统后更新系统,使系统处于稳定状态 [root@server1 ~]# yum -y update 文件权限 基本权限 目录:默认权限=777-umask 文件:默认权限=666-umask root的umask值 [root@server1 ~]# umask 0022 普通用户的umask值
linux 用户登录闪退,Linux云主机输入Root密码登录系统后闪退怎么办?
weixin_42364640的博客
04-28 3190
1、进入单用户模式排查在启动页面键入 e(图1 启动页面输入e)修改linux16 /vmlinuz-3.10.0-957.27.2...这条信息中的ro为rw,并在末尾添加 rd.break输入完成之后ctrl+x继续(图2 进入单用户模式)2、排查过程执行 chroot sysroot/A. 检查/etc/passwd内容显示是否正常cat /etc/passwd主要检查root用户登陆时s...
未授权导致jenkins启动异常处理示例
Darren_tan的博客
01-11 3639
1、Jenkins启动,但未建立监听端口和未查到对应服务进程 2、经排查发现日志文件清空后,未宿主文件权限授予给jenkins账号,导致读写访问异常。 3、最终发现/var/log/jenkins创建的日志文件没有授权给jenkins用户。 chown -R jenkins:jenkins /var/log/jenkins 4、再使用service jenkins start,启动后如下: [root@oracle jenkins]# service jenkins status ●.
应急响应日志分析之第二篇Linux日志分析
千寻的博客
12-05 3340
Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息
记录一下crontab定时任务基础操作和遇到过的问题
Old_D7的博客
02-13 1227
crontab基础操作和踩过的坑
ssh远程登录服务
weixin_43880061的博客
06-01 8036
1.ssh简介 SSH(Secure Shell,安全的外壳)是一种能够以安全的方式提供远程登录的协议。 它是专为远程登录会话(甚至可以用Windows远程登录Linux服务器进行文件互传)和其他网络服务提供安全性的协议,可有效弥补网络中的漏洞,ssh协议属于应用层协议。同时ssh服务也是一种对数据进行加密传输的服务。 ssh服务为客户机提供安全的shell环境,用于远程管理。ssh的默认端口号是22号端口 ssh服务主要是在HP_UX,LINUX,AIX,UNIX系统上都有但是Windows上没有
Jenkins学习笔记
CallMeV6
07-30 3466
1 Jenkins介绍         Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。 ----摘自百度百科        下面说点我对于Jenkins的一些学习心得,如果有什么不对的地方,还请大家积极指出,多谢了哈。        Jenkins是什么?        Jen...
jenkins报错
qq_42362811的博客
12-09 854
错误1.安装jenkins Aug 14 15:50:42 LENOVO-LA0X1596 systemd[1]: Starting LSB: Jenkins Automation Server… Aug 14 15:50:42 LENOVO-LA0X1596 runuser[111344]: pam_unix(runuser:session): session opened for user j...
日志频繁刷su:pam_unix(su-l:session):session opend for user omudb by systemd[1]:started session c5339334 of user omudb
06-02
这条日志信息与之前提到的日志信息是一样的,只是会话的 ID 不同(c5339334)。这种情况下,可能是因为用户频繁地使用 su 命令切换用户,导致系统记录了大量的日志信息。如果这种情况不是由于恶意行为或异常情况引起的,可以通过调整系统的日志记录策略来减少日志信息的数量。 可以通过修改 /etc/rsyslog.conf 文件来调整日志记录策略。该文件中包含了系统日志记录的配置信息,可以通过添加或修改规则来控制哪些日志信息需要记录,以及记录的方式和目标文件等参数。例如,可以通过添加以下规则来将 su 命令的日志信息记录到指定的日志文件中: ``` if $programname == 'su' then /var/log/su.log ``` 其中,$programname 表示当前正在记录日志的程序名称,'su' 表示需要记录 su 命令的日志信息,/var/log/su.log 表示日志文件的路径和名称。可以根据实际情况调整日志记录策略,以达到合理记录和管理日志信息的目的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

数据源的港湾

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值